Главная
|
Услуги и цены
VDS
Выделенные серверы
Размещение сервера
|
F.A.Q
|
О компании
|

Защита сервера: настройка авторизации по ключам

  • Изменения в `sshd_config`
  • Аутентификация по SSH-ключам
  • Настройка для входа с помощью PuTTY
  • Обновления и исправления уязвимостей
  • Заключение

Серверы, имеющие ip-адреса, доступные из интернета, подвержены множеству угроз:
- Несанкционированный доступ через уязвимости SSH
- Атаки вредоносного ПО
- Эксплуатация слабых паролей
Эта статья поможет вам минимизировать риски и защитить сервер от самых распространённых видов атак, таких как брутфорс, взлом учетных записей, фишинг.

Изменения в sshd_config

Файл /etc/ssh/sshd_config хранит настройки SSH-сервера OpenSSH.

Что бы внести в него изменения, откройте его любым удобным редактором, например nano:

nano /etc/ssh/sshd_config

Смена порта

Для повышения безопасности сервера рекомендуется изменить стандартный порт SSH (22) на нестандартный.
Найдите строку #Port 22, раскомментируйте её и укажите новый порт (любой свободный).

Не забудьте убедиться, что новый порт открыт в файрволе, чтобы не потерять доступ к серверу.
На наших серверах по умолчанию все порты открыты.

Изменение порта SSH

Отключение входа по паролю

Можно вообще отключить вход по паролю, если собираетесь настроить авторизацию по ключам:
Измените PasswordAuthentication на no

Отключение входа по паролю

Для поиска по документу, открытому в nano можно использовать Ctrl-W и ввести искомое слово.

Отключение входа для root

Для безопасности рекомендуется закрыть для root пользователя вход по ssh.


1. PermitRootLogin на no
Отключение входа для root

2. После внесения изменений нажмите Ctrl-X, введите y и нажмите Enter, чтобы сохранить изменения.


3. Создайте нового пользователя, например user.
Если он должен совершать действия, для которых нужны права администратора, добавьте его в группу sudo.


Подробнее о работе с пользователями писалось в статье:

Создание пользователя

Перезагрузите SSH

Для применения изменений в конфиге нужно перезапустить SSH:

    systemctl restart ssh

Аутентификация по SSH-ключам

Аутентификация с использованием ключей обеспечивает более высокий уровень безопасности, чем пароли, практически недоступны для брутфорса и исключают фишинг, так как не нужно вводить пароль где-либо.

1. Генерация ключа на локальной машине

На локальной машине (с которой будет происходить подключение к серверу) выполните:

    ssh-keygen -t rsa -b 4096 -C "My Key"

-t rsa - тип ключа
-b 4096 - длина ключа
-C "My Key" - произвольное описание ключа

Чтобы открыть командную строку на Windows, нажмите Win-R, введите cmd и нажмите Enter

Генерация ключа

2. Скопируйте ключ на сервер

Для Windows:

    type %userprofile%\.ssh\id_rsa.pub | ssh user@you_ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

И нажимайте Enter до конца. Когда запросит пароль, введите пароль от своего пользователя user

Копирование ключа

Описание команды:
\%userprofile\%\.ssh\id_rsa.pub - путь к файлу вашего публичного ключа
user - логин. Укажите вашего созданного ранее пользователя (либо root, если вы решили оставить его)
you_ip - ip сервера, из панели управления

Описание команды

mkdir -p ~/.ssh - создание папки ~/.ssh на удалённом сервере, если её ещё не существует.
cat >> ~/.ssh/authorized_keys - добавляет данные в конец файла ~/.ssh/authorized_keys

Для Linux или Mac:

        cat ~/.ssh/id_rsa.pub | ssh user@you_ip "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

После этого выполните:

    ssh user@you_ip

И вас пустит на сервер без пароля.

Подключение по ключу

3. Настройка для входа с помощью PuTTY (не обязательно)

Преобразуйте ключ в формат PuTTY

PuTTY использует собственный формат ключей .ppk.
Для преобразования выполните следующее:

  1. Установите PuTTYgen (обычно устанавливается вместе с PuTTY).
  2. Откройте PuTTYgen.
  3. Нажмите Load и выберите свой приватный ключ id_rsa (в формате OpenSSH).
Загрузка ключа в PuTTYgen
Загрузка приватного ключа

Введите пароль для ключа (если он задан), затем нажмите Save private key и сохраните файл с расширением .ppk.

Сохранение приватного ключа
Сохранение ключа в формате .ppk

Настройте PuTTY для использования ключа

  1. Откройте PuTTY.
  2. В поле Host Name (or IP address) введите IP-адрес или доменное имя сервера и порт, который вы указали.
PuTTY Hostname
  1. Перейдите в Connection → SSH → Auth.
  2. Нажмите Browse и выберите ранее сохранённый файл .ppk.
Выбор ключа в PuTTY

Вернитесь в раздел Session, введите имя для сессии и сохраните её с помощью кнопки Save.

Сохранение сессии в PuTTY

Теперь вы войдете с ключом My Key без пароля.

Подключение через PuTTY

Обновления и исправления уязвимостей

Регулярно обновляйте систему для исправления уязвимостей:

    apt update && apt upgrade -y

Заключение

Следуя этим рекомендациям, вы значительно повысите безопасность вашего сервера.
Регулярно проверяйте настройки и обновляйте систему, чтобы минимизировать риски.

logo
© 2022 62yun
Все права защищены
vk.com/62yuncom
support@62yun.ru
logo
vk.com/62yuncom
support@62yun.ru
Услуги
VDS Выделенные серверы
Полезное
F.A.Q О компании Политика конфиденциальности Оферта
Способы оплаты
wechatpay visa mastercard
MirAccept
Партнеры
25port
© 2022 62yun Все права защищены
ВВЕРХ